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International application No. 

PCT/FR99/02782 



, Basis of the report 



1 . This report has been drawn on the basis of {Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article J 4 are referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments ). 

| | the international application as originally filed. 

[X] the description, pages l^ii > as originally filed, 

pages , filed with the demand, 

pages , filed with the letter of 

pages , filed with the letter of 



^ the claims, 



Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



1-12 



, as originally filed, 

t as amended under Article 1 9, 

filed with the demand, 

filed with the letter of 

filed with the letter of 



the drawings, sheets/fig 
sheets/fig 
sheets/fig 
sheets/fig 



1/4-4/4 



, as originally filed, 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



2. The amendments have resulted in the cancellation of: 

□ 

the description, pages 

the claims, Nos. 

the drawings, sheets/fig 



3 I"] This report has been established as if (some of) the amendments had not been made, since they have been considered 
to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 

4. Additional observations, if necessary: 
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international application No. 
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Statement 
Novelty 0 s !) 

Inventive step (IS) 
Industrial applicability (IA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-12 



1-12 



1-12 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 



Document EP-A-481882 (Dl) is considered to be the cl 
prior art. 



osest 



Dl discloses (see Claim 1, and Figure 1) a method for 
controlling the use of a smart card, which comprises a 
microprocessor capable of performing cryptography 
calculations in the card, to carry out authentication 
sessions during a transaction between the card and a 
terminal. The aforementioned method uses at least one 
control counter (sum box) and, for a transaction including 
at least one authentication session by the card, consists 
in decrementing or incrementing the control counter by one 
unit, at the beginning of the transaction, and if the card 
authentication succeeds, clearing the counter of the bits. 

The subject matter of Claim 1 differs from the prior art 
only in that the counter is not reset, but is decremented 
by one unit. 

In comparison to Document Dl, this method limits attacks 
of the DPA (Differential Power Analysis) kind. 



Document EP-A-789335 envisages the use of 

Form PCT/IPEA/409 (Box V) (January 1994) ' 



a counter that 
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can increment or decrement in an irreversible way when 
authentication is not successful. This method is likewise 
not adapted to resist an attack of the DPA kind (see the 
description of the present application, pages 3 and 4). 



Given that no single document made available to the 
examiner discloses resetting the counter when 
authentication is successful, the subject matter of Claim 
1 is considered inventive. 

The provisions of PCT Article 33 are, therefore, 
fulfilled. 



With respect to the subject matter of Claim 12, the 
attention of the applicant is drawn to Box VIII below. 



i 



Form PCT/IPEA/409 (Box V) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 
PCT/FR 99/02782 



VII. Certain defects in the international application 



| 71,6 folIow 'ng defects in the form or contents of the international application have been 



noted: 



Contrary to the requirements of PCT Rule 5.1(a) (ii), the 
relevant prior art disclosed in document EP-A-481882 is 
not indicated in the description, nor is this document 
cited therein. 



Claim 1 has not been drafted in the two-part form 
according to PCT Rule 6(3). Features known from Dl are 
included in the characterising part, whereas they should 
be included in the preamble. 
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'III. Certain observations on the international application 



rhe following observations on the clarity of the claims, description, and drawing- 
Supported by the description, are made: 



s or on the question whether the claims are fully 



Claim 12 is not clear and does not meet the requirements 
of PCT Article 6 because the subject matter for which 
protection is sought is not clearly defined. 
In particular, the technical features enabling the card to 
implement the methods previously defined are neither 
defined nor included in this claim. 



Form PCT/IPEA/409 (Box VIII) (January 1 994) 



TRATTE DE COOPERATION EN MATIERE DE BREVETS 

PCT 



RAPPORT DE RECHERCHE INTERNATIONALE 



(article 1detr*068 43 et 44 du PCT) 



Reference du dossier du depose** ou 
du mandstabB 
GEN 628 


POUR SUITE voir la notification de transmission du rapport de recherche Internationale 
(§c^iJaJrePCT/lSA/220)et,tera 

ADONNER 


Demande Internationale n° 

PCT/FR 99/02782 


Date du depot hntBrnationalObtMrx^am^; 

12/11/1999 


(Date de pnorte fla plus andeme) 
Qourfmole/annto) 

18/11/1998 


Depoaant 

GEMPLUS S.CA. et al . 



Le present rapport de recherche tTtBmationale, etabi par raoYnkritetration chargee de la recherche Internationale, est transmte au 
a^pos8^ conformernem a r aitk4e 1& Une cople en est transmlse au Bureau International 

Ce rapport de recherche I ntemaUonate ooftprend g feutlea, 

|X| II est aussl aooompagne dune cople de chaque document relatf a Fetat de la technique qui y est cfte. 



1. Basedu rapport 

a. En ce qui oonoeim la langiiB^ la recherche 
lartgue dans laqueto ele a deposes 

[ | la recherche trtemetlof^ 

b. En ce qui conoeme lee s e que nc e s de nucHofldas cm <f aoides amines oTvuIqusss dans la demande Internationale (le caa echeant), 
la recherche Internationale a ete effoctuoo sur la base du Istage des sequences : 

| | contenu dans la demande Internationale, sous forme ecrte. 

| | deposee avec la demande hitoiitationaJa, sous forme decWffraWe par ordknateur. 

| | remte ulterleurement a radrrtinfatration, sous forme ecrte. 

| | remte ufterteurement a fa&n tn ietraflon. sous forme dechlrrable par crdlnateur. 

I I La declaration, seton tequette le estage des sequences prosento par sent et fouml uterieurernent ne vas pas au-deia de la 
dvutqation fafte dans la demande telle que d s pos oo , a ete foumle. 

| | La declaration, seton taquefte les Informations enreglstreee sous forme dechHTrabte par ordnateur sort Uentiquea a ceAae 
du fataqe des sequences presents par ecrt, a etefoumte. 

2. □ n a at* saflm* que cettames revendcationa ne pouvaJsnt pee fsJre fobjst cTune recherche (voir le cadre I), 
a □ Dyasi»ssfioe<funMd^r invention (voir le cadre II). 

4. En ce qui concerns le title, 

fT| totexteestepproirvetelqullaetf rerr^ 

| | Le texte a ete etabi par Tadmhitstration et a la teneur sulvante: 



5. En ce qui concerns fabregf, 

|Y| te texte est spprouvetelquTI a e^ remte parte 

□ le texte (reprodtit dans le cadre III) a ete etabi par radmir*stnxtion corrforrnement a la regie 3&2b). Le depoaant peut 
presenter des observations a radrnWatratton dans un dotal tfun mote a compter de la date d'expedUon du present rapport 
de recherche Internationals. 



& Laflgureotodee«imapublera*scre£r^ 2- 



r~| suggeree parte depoaant Q Aucurte des figures 

□ parce que le depoaant ifa pas auggere oe figure. n'est arjubier. 

|X| parce que oette figure csjracterlse mleux rhvention. 
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GB 2 188 762 A (P.H. BERTENSHAU) 
7 octobre 1987 (1987-10-07) 
le document en entler 


1-5,9-11 


A 


EP 0 626 662 A (GEMPLUS CARD 
INTERNATIONAL) 

30 novembre 1994 (1994-11-30) 




A 


EP 0 157 303 A (TOSHIBA) 
9 octobre 1985 (1985-10-09) 





| \ VdrbMiteilucadtoCpourlaflndelaMo^docunen^ 



ID 



Leo document* do farrdeee de brev et s sort Indquee en annexe 



"A" docuriert delMe aa rtre^ 
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priortt* ou cne pour detom*ier la date do pubfleaftontfwe 
autra dtatton ou pour una ratoon apedato (tele quMquee) 

XT document oaraiofart a una dvuK^ato a murage, a 
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voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international (formulaire PCT/IPEA/416) 


Demande Internationale n° 
PCT/FR99/02782 


Date du depot international (jour/mois/ann4e) 
12/11/1999 


Date de priorite (jour/mois/ann6e) 
18/11/1998 


Classification international© des brevets (CIB) ou a la fois classification national© et CIB 
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1 . Le present rapport d'examen preliminaire international, etabli par I'administaration chargee de I'examen preliminaire 
international, est transmis au deposant conformement a I'article 36. 

2. Ce RAPPORT comprend 5 feuilles, y compris la presente feuille de couverture. 

□ II est accompagne d'ANNEXES, c'est-a-dire de feuilles de ia description, des revendications ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites auprds de 
Tadministration chargee de I'examen preliminaire international (voir la regie 70.16 et ['instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 



I 




Base du rapport 


II 


□ 


Priorite 


III 


□ 


Absence de formulation d'opinion quant a la nouveaute, I' activity inventive et la possibilite 
d'apptication industrielle 


IV 


□ 


Absence d'unite de I 1 invention 


V 




Declaration motivee selon 1'article 35(2) quant a la nouveaute, I'activite inventive et la possibilite 
d'apptication industrielle; citations et explications a I'appui de cette declaration 


VI 


□ 


Certains documents cites 


VII 




Irregularis dans la demande internationale 


VIII 




Observations relatives a la demande internationale 



Date de presentation de ia demande d'examen preliminaire 
internationale 

19/05/2000 


Date d'achevement du present rapport 

1 0. 08. 00 


Norn et adresse postale de ('administration chargee de 
I'examen preliminaire international: 

Office europeen des brevets 
AM D-80298 Munich 

Tel. +49 89 2399 - 0 Tx: 523656 epmu d 

Fax: +49 89 2399 - 4465 


Fonctionnaire autoris^ y^?* 55 ***^ 
Closa, D f 3 )) 

N° de telephone +49 89 2399 2880 ^ 



Formulaire PCT/IPEA/409 (feuille de couverture) Qanvier 1994) 




RAPPORT D'EXAMEN 

PRELIMINAIRE INTERNATIONAL Demande Internationale n° PCT/FR99/02782 



I. Base du rapp rt 

1 . Ce rapport a ete redige sur la base des elements ci-apres (les feuiltes de rempfacement qui ont ete remises a 
I'office recepteur en reponse a une invitation faite conformement a /'article 14 sont considerees, dans te present 
rapport, comme "initialement deposees" et ne sont pas jointes en annexe au rapport puisqu'elles ne contiennent 
pas de modifications.) : 

Description, pages: 

1-14 version initiate 

Revendications, N°: 

1-12 version initiate 

Dessins, feuiltes: 

1/4-4/4 version initiate 

2. Les modifications ont entraine I'annulation : 

□ de la description, pages : 

□ des revendications, n os : 

□ des dessins, feuilles : 

3. □ Le present rapport a ete formula abstraction faite (de certaines) des modifications, qui ont ete considerees 

comme allant au-dela de ('expose de I 1 invent ion tel qu'il a ete depose, comme it est indique ci-apres 
(regie 70.2(c)) : 

4. Observations complementaires, le cas echeant : 
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V. Declaration m tiv 'es I n larticl 35(2) quant a la nouv aute, I'activit ' inv ntive et la possibilrt 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 

Nouveaute Oui : Revendications 1-12 

Non : Revendications 

Activite inventive Oui: Revendications 1-12 

Non : Revendications 

Possibility d'application industrielle Oui : Revendications 1-12 

Non : Revendications 



2. Citations et explications 
voir feuille separee 



VII. Irregularites dans la demande Internationale 

Les irregularites suivantes, concemant la forme ou le contenu de la demande intemationale, ont ete constat 'es : 
voir feuille separee 



VIII. Observations relatives a la demande intemationale 

Les observations suivantes sont faites au sujet de la clarte des revendications, de la description et des dessins 
et de la question de savoir si les revendications se fondent entierement sur la description : 

voir feuille separee 
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RAPPORT D'EXAMEN Demand int mational n° PCT/FR 99/02 782 

PRELIMINAIRE INTERNATIONAL - FEUILLE SEPAREE 



Concernant le point V 

Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite inventive 
et la possibility d'application industrielle; citations et explications a I'appui de 
cette declaration 

Le document EP-A-481882 (D1) est considere comme representant Petat de la 
technique le plus proche. 

D1 montre (voir la revendication 1 et la figure 1) un procede de controle de I'utilisation 
d'une carte a puce comprenant un microprocesseur apte a effectuer des calculs de 
cryptographie dans la carte pour effectuer des sessions d'authentification lors d'une 
transaction entre la carte et un terminal, ledit procede utilise au moins un compteur de 
controle (zone totalisatrice) et consiste pour une transaction comprenant au moins une 
session d'authentification par la carte a decrementer ou incrementer d'une unite le 
compteur de controle au debut de la transaction et si Pauthentification par la carte est 
reussie d'effacer les bits du compteur. 

L'objet de la revendication 1 ne differe uniquement de I'etat de la technique qu'en ce 
que le compteur n'est pas remis dans son etat initial mais decrements d'une unite. 

Par rapport au document D1 , ce procede permet de limiter des attaques de type DPA 
(Differential Power Analysis) 

Le document EP-A-789335 prevoit I'utilisation d'un compteur s'incrementant ou se 
decrementant de fagon irreversible lorsque Pauthentification n'est pas reussie. Cette 
methode n'est pas non plus adaptee pour resister a une attaque de type DPA, voir la 
description de la presente demande, pages 3 et 4. 

Compte tenu qu'aucun des documents mis a la disposition de Pexaminateur ne devoile 
la remise du compteur dans son etat initial lorsque Pauthentification est reussie, Pobjet 
de la revendication 1 est considere comme inventif. 
Les dispositions de I'Art. 33 PCT sont done remplies. 

En ce qui concerne Pobjet de la revendication 12, Pattention du demandeur est attiree 
sur le point VIII, ci-dessous. 
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Concernant le point VII 

Irregularis dans la demande intemationale 

Contrairement a ce qu'exige la regie 5.1 a) ii) PCT, la description n'indique pas I'etat de 
la technique anterieure pertinent expose dans le document EP-A-481882 et ne cite pas 
ce document. 

La revendication 1 n'est pas correctement decoupee en deux parties comme requis par 
la regie 6(3) PCT. Des caracteristiques connues de D1 etant actuellement placees 
dans la partie caracterisante alors qu'elles devraient etre dans le preambule. 

Concernant le point VIII 

Observations relatives a la demande intemationale 

La revendication 12. n'est pas claire et ne satisfait pas aux conditions requises a 
Particle 6 PCT, dans la mesure ou I'objet pour lequel une protection est demandee n'est 
pas clairement defini. 

En particulier, les caracteristiques techniques qui permettraient a la carte de mettre en 
oeuvre les procedes precedemment definis ne sont pas defini ne sont pas inclus dans 
cette revendication. 
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(54) Title: METHOD FOR CONTROLLING THE USE OF A SMART CARD 

(54) Titre: PROCEDE DE CONTROLE D'UTILISATION D'UNE CARTE A PUCE 

(57) Abstract 

The invention concerns a method for 
controlling in a smart card CPE, for transac- 
tions between said card and a terminal com- 
prising at least an authentication session by 
the card which consists in decrementing, or 
incrementing, by one unit control counter 
Ckdp at the start of the transaction and in 
re-incrementing it, or decrementing it, only 
if the authentication by the card is success- 
ful. When the counter reaches a threshold 
value, the use of the card is blocked, thereby 
preventing fraudulent use of the card in an at- 
tempt to discover the encryption keys KDP, 
SKP contained in the card. 

(57) Abre*ge* 

Un proedde" de controle dans une carte 
a puce CPE, pour des transactions entre cette 
carte et un terminal comprenant au moins une 
session d'authentification par la carte con- 
siste a decrementer, ou incremented d'une 
unite un compteur de contrdle Ckdp au d6but 
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le decrementer, que si rauthentification par BB... SECRET KEYS, 
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teint une valeur limite, 1' utilisation de la carte EE Sotw™ cSmoi rni imtpr 
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PROCEDE DE CONTROLE D ' UTILISATION D ' UNE CARTE A 

PUCE 

La presente invention concerne un procede de 
controle d'une carte a puce. 
5 Elle s' applique plus particulierement aux cartes 

mettant en oeuvre des algorithmes de cryptographie 
utilisant des cles ou des couples de cles dans des 
sessions d'authentif ication, lors de transactions entre 
la carte et un terminal. 

10 On entend par terminal, aussi bien le terminal dans 

lequel la carte est introduite, comme par exemple un 
terminal de paiement chez un commergant, qu'un serveur 
d'une banque auquel ce terminal de paiement peut-etre 
relie lors d'une transaction dite par liaison directe, 

15 selon un mode de transaction dit "online" dans la 
litterature anglo-saxonne. C'est notamment le cas pour 
les cartes bancaires (carte de debit/credit), pour des 
transactions portant sur un montant qui depasse un 
certain seuil et dans lesquelles le terminal se 

20 connecte automatiquement au serveur pour des 
. verifications supplementaires avant d' accepter la 
transaction. 

Dans la suite, on entend par terminal tout systeme 
exterieur auquel la carte est connectee lors d'une 

25 transaction. 

L' invention s' applique notamment, mais pas 
exclusivement aux cartes a puce de type porte-monnaie 
electronique, qui sont des moyens de paiement jetables 
ou rechargeables , 

30 Pour prevenir toute fraude liee a 1 7 utilisation de 

cartes a puce, des algorithmes cryptographiques sont 
utilises, qui utilisent des cles* 
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En pratique, pour un certain nombre de transactions 
une ou plusieurs sessions d' authentif ication par la 
carte ou par le terminal sont prevues , de maniere a 
assurer une securite maximum. On entend par session 
5 d ' authentif ication 1' ensemble des operations visant a 
faire calculer par la carte et par le terminal une 
signature. (ou un certificat) correspondant a 
1 ' application d'un algorithme de cryptographie sur une 
donnee qui peut-etre imposee par l'un ou 1' autre ou un 

10 melange de donnees de la carte et du terminal, et a la 
comparaison des deux signatures. Si cette comparaison 
est effectuee par la carte, c'est une authentif ication 
par la carte, qui recpoit la signature calculee par le 
terminal. Si c'est une authentif ication par le 

15 terminal , c ' est le contra ire . 

Cependant, un nouveau type de fraude est apparue 
qui consiste a deduire la valeur des cles secretes a 
partir d' analyses statistiques basees sur des mesures 
de consommation en courant de la carte, lors des 

20 periodes de calcul cryptographique. Cette methode 
d'attaque, appelee attaque DPA pour differential power 
analysis repose sur le fait que l'on a des signatures 
de consommation en courant a partir desquelles, si on 
connait au moins la donnee appliquee en entree ou la 

25 donnee obtenue en sortie, on est capable, en faisant 
des hypotheses sur les cles, de retrouver la valeur ou 
une partie de la valeur d'une cle qui a ete utilisee 
dans le calcul cryptographique considere. 

Pour mettre en oeuvre cette fraude, il faut done 

30 pouvoir lancer un calcul cryptographique avec la meme 
cle un certain nombre de fois, par exemple, 300 fois. 
Pour que ce soit utilisable, il faut connaitre ou 
pouvoir imposer ou pouvoir fixer un parametre du calcul 
cryptographique . 

35 Si on prend I 7 exemple des cartes a puce de type 

porte-monnaie electronique mettant en oeuvre un 
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algorithme cie cryptographie a cle secrete, les 
transactions entre une carte de ce type et un terminal 
se deroulent globalement selon le schema suivant, 
represente sur la figure 1 : 
5 - dans une phase d ' initialisation , la carte calcule 

une cle de session SKX, a partir d'une cle secrete KDX 
contenue dans la carte concernee et d'un compteur de 
sessions NTX de la carte qui est increments de fagon 
irreversible pendant la transaction. 
10 Puis selon le type de transactions, la carte 

calcule une signature SI et/ou une signature S2, en 
appliquant 1' algorithme de cryptographie a une donnee, 
en general imposee par la carte, et avec la cle de 
session SKX. 

15 De son cote, le terminal calcule des signatures 

correspondantes, et selon le type de transaction, soit 
le terminal est authentifie par la carte, soit la carte 
est authentifiee par le terminal. II y a done 
transmission de donnees et de signatures associees lors 

20 de sessions d' authentif ication. 

Prenons le cas d'une tentative de fraude basee sur 
une transaction de type chargement (load dans la 
litterature anglo-saxonne) , qui sert normalement a 
crediter la carte de type porte-monnaie electronique 

25 avec une certaine somme. 

Si on lance un certain nombre de fois (300 fois par 
exemple) une transaction de ce type et si on retire la 
carte du terminal juste apres la phase 
d' initialisation, le compteur de sessions NTX de la 

30 carte ne sera pas increments. Si on fait 300 
transactions de ce type en retirant la carte du 
terminal pour faire avorter la transaction, la cle de 
session SKX sera la meme pour ces 300 transactions. On 
pourra done collecter 300 courbes de mesure de 

35 consommation en courant correspondant au calcul de 300 
signatures sur des donnees qui pourront etre identiques 
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ou variables selon les transactions, et avec la meme 
cle . 

L'analyse statistique dans le cas ou les donnees 
sur lesquelles le calcul cryptographique est applique, 
5 sont variables, permet d'obtenir la cle de session. 

Selon le type de cartes, selon les transactions, on 
peut en pratique soit deduire les cles secretes reelles 
contenues dans la carte, ou les cles de session. 

La connaissance d'une cle secrete reelle permet 
10 d'une part de fabriquer des fausses cartes avec cette 
cle ; ces cartes seront vues comme bonnes par un 
terminal. Cette connaissance permet d' autre part de 
realiser des transactions de type annulation d'achat, 
pour une carte de type porte-monnaie, permettant de re- 
15 crediter la carte d'un montant precedemment debite. 

La connaissance d'une cle de session permet quant a 
elle de rejouer une transaction, en utilisant une 
fausse carte (un clone) ou un simulateur. 

L' invention a pour objet d'empecher ce type de 
20 fraude. 

Or cette fraude necessite deux type d ' operations 
distinctes: 

- une operation de collection de mesures de 
consommation en courant, pour laquelle il faut utiliser 

25 la carte pour faire les mesures a des moments propices, 
avec des transactions reelles avec un terminal, mais 
qui sont avortees par retrait de la carte (pull out) ou 
des transactions . avec un simulateur du terminal, 
transactions qui vont echouees par defaut 

30 d'authentif ication du terminal par la carte (mauvaises 
signatures) ; et . 

- une operation d' analyse statistique utilisant des 
moyens de simulation ( ordinateurs) , pour retrouver les 
donnees recherchees, c'est a dire les cles. 

35 Pour mener a bien 1'analyse statistique, il faut 

effectuer un grand nombre de mesures : 50, 300, 5000. 
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Cela veut dire que dans la carte, il va y avoir un 
grand nombre d'echecs de sessions d' authentif ications 
par la carte, echecs dus a des transactions avortees, 
par retrait de la carte du terminal {pull-out) ou 
5 echouees, par fourniture par le terminal de mauvaises 
signatures mauvaises signatures. 

Un objet de l'invention est ainsi d'empecher la 
collection de mesures de consommation. en courant. 

Or on a vu que dans le cas ou l'on cherche a faire 
10 cette collection, on va avoir un grand nombre d'echecs 
de sessions d'authentif ication par la carte. 

Une solution apportee au probleme technique de 
I 7 invention consiste a utiliser dans la carte un 
compteur de controle, pour decompter (ou compter) ces 
15 echecs, et interdire 1' utilisation de la carte quand un 
certain nombre d'echecs sont comptabilises . 

L' invention concerne done un procede de controle 
selon la revendication 1. 

Selon 1' invention, lorsqu'une transaction entre la 
20 carte et un terminal est lancee, qui utilise au moins 
une session d' authentif ication par la carte, le 
compteur de controle est decrements d'une unite. II 
n'est re-incremente de cette unite que si 
1 ' authentif ication est reussie. Ou bien, le compteur de 
25 controle est increments d'une unite et n'est ensuite 
decrements de cette unite que si la session 
d ' authentif ication est reussie. 

De preference, on utilise un compteur de controle 
par cle et/ou par couple de cles de cryptage utilises 
30 dans la carte. 

Le compteur de controle selon 1' invention peut 
decompter depuis, ou compter jusqu'a une valeur de 
blocage N representative du nombre d'echecs autorises. 

Cette valeur de blocage N depend du type de 
35 transactions dans lesquelles la cle ou le couple de 
cles associe est utilise. Cette valeur correspond a un 
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•nombre de fois autorise de transactions echouees ou 
avortees . Elle tient notamment compte du niveau de 
securite a associer a la transaction, c'est a dire du 
risque encouru par une fraude sur cette cle ou ce 
5 couple de cles. 

Par exemple, s'agissant pour une carte de type 
porte-monnaie electronique, d'une transaction de mise a 
jour de parametres de la carte, ces parametres pouvant 
etre la date d' expiration, les valeurs meme des cles, 

10 un montant maximum pour une transaction • . . , on prevoit 
une valeur N assez faible, car un tres fort degre de 
securite doit etre associe a une telle transaction et 
peu d'erreurs d'utilisation peuvent survenir pour ce 
type de transaction. S'agissant d'operations d'achats 

15 ou d'annulation d'achats, pour lesquels un certain 
nombre d' incidents lors de 1 ' utilisation "normale" de 
la carte peuvent intervenir, dus notamment a des 
erreurs d'utilisation par le titulaire, on prevoit une 
valeur plus grander 

20 Pour une cle donnee ou un couple de cles donne, 

lorsque le compteur a atteint sa valeur limite, zero 
par decrementation ou N par incrementation, 
1'utilisation de la cle ou du couple de cles est 
bloquee : aucune transaction utilisant cette cle ou ce 

25 couple de cles ne peut plus etre ef fectuee. De 
preference, on prevoit que ce blocage est irreversible. 
On peut cependant prevoir de re-init ialisiser le 
compteur dans le cas ou un blocage resulte 
indiscutablement d'une erreur non intent ionnelle de 

30 1'utilisateur. On peut aussi prevoir de pouvoir 
modifier la valeur de blocage N, si elle se revele en 
pratique trop faible ou trop grande. Ces re- 
initialisation ou modification ne pourront se faire que 
selon une procedure tres securisee par un tiers 

35 habilite (la banque) • 
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En outre, dans certaines transactions, plusieurs 
calculs cryptographiques sont executes, avec la meme 
cle ou le meme couple de cles jusqu'a et y compris 
celui de la session d ' authentif ication par la carte. On 
5 prevoit alors de decrementer, ou incrementer , le 
compteur ou bien d'une nouvelle unite avant chaque 
calcul, ou bien d'une unite representative du nombre de 
calculs effectues. Si la session d ' authentif ication est 
reussie, le compteur est re-incremente, ou decrements, 

10 soit de la somme des unites decrementees, ou 
incrementees , au moyen d'un compteur de pointage ou de 
1'unite representative, selon le mode d ' implementation 
choisi du procede de controle selon 1' invention, 

D'autres caracteristiques et avantages de 

15 1' invention sont deer its dans la description suivante, 
faite a titre indicatif et nullement limitatif et en 
reference aux dessins annexes dans lesquels : 

- la figure 1 deja decrite represente un schema 
type de calculs cryptographiques effectues lors d'une 

20 transaction entre une carte de type porte-monnaie 
electronique utilisant un algorithme de cryptographie a 
cle secrete et un terminal ; 

- la figure 2 est un schema general des ressources 
d'une carte de ce type, comprenant des compteurs de 

25 controle selon 1' invention; et 

- les figures 3 a 5 sont des organigrammes de 
transactions typiques dans une application porte- 
monnaie electronique mettant en oeuvre le procede de 
controle d'utilisation selon l'invention. 

30 Le principe general de 1' invention est d'utiliser 

au moins un compteur de controle que 1'on va 
decrementer, ou incrementer d'une unite en debut de 
transaction entre un terminal et une carte, et que l'on 
ne va re-incrementer , ou decrementer qu'apres une 

35 session d'authentif ication par la carte, si cette 
session est reussie. 
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Dans la suite on ne retient que le cas ou le 
compteur est decrements systSmatiquement au debut de 
chaque transaction et re-incremente sous conditions. On 
se transposera aisSment dans le cas inverse ou le 
5 compteur est increments systematiquement, en debut de 
transaction, et decrements sous conditions. 

Le compteur est initialise a une valeur de blocage 
N, representative du nombre d'Schecs autorisSs qui est 
notamment fonction de 1 ' application. Si beaucoup de 

10 transactions sont dSmarrSes sans permettre une 
authentif ication reussie par la carte, soit que la 
transaction ait ete interrompue (cas de pull out) , soit 
que les donnees envoySes a la carte pour permettre 
l'authentif ication par la carte soient fausses (cas 

15 d'un simulateur utilise a la place d'un vrai terminal) , 
le compteur qui est decrements a chaque nouvelle 
transaction, mais qui n'est pas re-incrSmente dans tous 
les cas d'Schecs d' authentif ication par la carte, finit 
par atteindre zero. L' utilisation de la carte est alors 

20 bloquSe. 

Un exemple de mise en oeuvre de 1' invention va 
maintenant etre explique pour une carte de type porte- 
monnaie Slectronique mettant en oeuvre un algorithme de 
cryptographie dont - la clS de cryptage est une cle 

25 secrete. L' invention ne se limite pas ni a ce type de 
carte, ni a ce type d ' algorithme . Elle s'applique a 
toute carte effectuant pour au moins une transaction, 
une session d ' authentif ication . La session 
d'authentif ication peut utiliser un algorithme a cle 

30 secrete comme 1' algorithme DES , ou un algorithme de 
type RSA utilisant un couple de clSs de cryptage (clS 
privee, cle publique) . Certaines cartes implSmentent 
meme ces deux algorithmes pour utiliser 1'un ou 1 'autre 
selon la transaction a effectuer. Le procede de 

35 controle selon 1 ; invention s'applique a toutes ces 
diffSrentes cartes et applications. 
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La figure 2 represente schematiquement les 
ressources d'une carte a puce de type porte-monnaie 
electronique, a laquelle on peut appliquer le procede 
de controle de 1' invention. 
5 Elle comprend pr incipalement un microprocesseur jap, 

et des ressources memoires dont une memoire morte ROM , 
contenant en pratique le code programme, une memoire 
dynamique RAM comme memoire de travail et une memoire 
non volatile de type EEPROM par exemple, qui contient 

10 en pratique des parametres sensibles (au sens securite) 
de la carte, dont des compteurs. Dans 1' exemple, cette 
memoire contient notamment trois cles secretes notees 
KDP, KDL et KDU, trois compteurs de sessions associes, 
notes NTP , NTL et NTU, et trois compteurs de controle 

15 associes selon 1' invention, notes C KDp , C KDL , C RDU . 

Cette memoire contient d'autres parametres. 
Certains peuvent etre mis a jour par un systeme 
externe, par une transaction de mise a jour, selon une 
procedure securisee . 

20 On rappelle que dans une carte porte-monnaie 

electronique, trois types de transactions sont 
possibles et a chaque type de transaction correspond 
une cle secrete associee. On a ainsi les types de 
transaction suivants : 

25 - Achat ou annulation d' achat {purchase or purchase 

cancellation) avec la cle secrete associee, notee KDP; 

- Chargement ou dechargement (Load or Unload) avec 
la cle secrete associee, note KDL et 

- Mise a jour (update) avec la cle secrete 
30 associee, notee KDU. 

Dans 1' invention, on prevoit alors d'utiliser un 
compteur de controle par cle secrete differente. On a 
ainsi le compteur Ckdp associe a la cle secrete KDP, le 
compteur Ckdl associe a la cle secrete KDL et le 
35 compteur Ckdu associe a la cle secrete KDU. 
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L'exemple d ; organigramme de f onct ionnement d'une 
telle carte represents sur la figure 3 concerne une 
transaction de type achat (purchase) , pour laquelle la 
carte utilise done la cle secrete KDP, le compteur de 
5 session associe NTP et le compteur de controle associe 
selon 1' invention, C KDp . 

Une transaction d' achat comprend une premiere phase 
d' initialisation qui se limite normalement a 1' envoi 
d'une commande par le terminal a la carte, pour lui 

10 specifier le type de transaction. On libelle 
habituellement cette commande de la maniere suivante, 
dans la litterature anglo-saxonne : INIT FOR PURCHASE . 

Le microprocesseur se branche alors sur 1'adresse 
du code programme correspondant a ce type de 

15 transaction. 

Dans 1 ' invention, on prevoit dans cette phase 
d' initialisation de decrementer le compteur de controle 
concerne, C KDP / d'une unite. La carte execute done 
1 ' instruction suivante : C RDp = C KDp - u. 

20 Elle teste alors si le compteur de controle a 

atteint sa valeur limite, dans l'exemple zero. Si il a 
atteint sa valeur limite (C KDp <0) , la carte ne peut 
donner suite a la transaction, qui se terminera done 
par defaut de reponse par la carte, 

25 si la limite n'est pas atteinte, la carte passe a 

une phase .de, traitement, dans laquelle elle precede 
notamment aux operations suivantes : 

- elle calcule la cle de session SK p , en appliquant 
l'algorithme de cryptographie a la valeur du compteur 

30 de session NTP et en utilisant la cle secrete KDP, 

- elle envoie une donnee au terminal pour qu'il 
calcule une signature correspondante S2 T , 

- elle regoit en retour la signature S2 T calculee 
par le terminal. 
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- elle calcule une signature S2 en appliquant 
l'algorithme de cryptographie a la donnee variable 
envoyee au terminal, avec la cle de session SK p . 

La carte compare alors les deux signatures. Si 
.5 elles sont comparables , 1 ' authentif ication est reussie, 
le compteur de controle selon 1' invention est alors re- 
increments par la valeur u. Sinon, il est inchange. La 
transaction peut ensuite continuer. 

On voit que si trop de transactions de type achat 
10 conduisent a un echec de 1 ' authentif ication par la 
carte, le compteur de controle selon 1 ' invention va 
permettre de bloquer toute utilisation de la carte pour 
une transaction de type achat. 

En fait il bloque toute utilisation de la carte 
15 pour des transactions de meme type, utilisant la meme 
cle secrete. Ainsi, dans le cas du compteur C KDP , ce 
sont les transactions d'achat ou d'annulation d'achat 
qui seront bloquees. 

La figure 4 montre un organigramme de 
20 f onctionnement de la carte pour la transaction de type 
annulation d' achat, qui utilise done la meme cle 
secrete KDP. 

Dans cette transaction, la phase d 9 initialisation 
initiee par une commande d' initialisation du terminal, 

25 (commande "init for purchase cancellation 11 selon la 
litterature anglo-saxonne) , comprend, en plus de la 
decrementation d'une unite u du compteur de controle 
C kdp selon 1' invention, le calcul de la cle de session 
SK p et d'une signature SI obtenue par application d 7 un 

3 0 algorithme de cryptographie sur une donnee, en 
utilisant la cle de session. A 1' issue de ce calcul, la. 
carte transmet au terminal, cette donnee et la 
signature SI, pour permettre au terminal d ' authentif ier 
la carte. Cette authentif ication par le terminal ne 

35 fait l'objet d'aucune reponse du terminal. 
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La carte passe a la phase de traitement dans 
laquelle elle authentifie a son tour le terminal, comme 
precedemment. Dans ce type de transaction, la signature 
S2 est en general calculee sur zero. La carte calcule 
5 done la signature S2 correspondante avec la cle de 
session KDP. Elle recpoit la signature S2 T calculee par 
le terminal et effectue la comparaison des deux 
signatures • Si elles sont comparables, la session 
d'authentif ication est reussie. Le compteur de controle 

10 selon 1' invention est re-incremente par 1' unite u. 

Sinon, le compteur de controle est inchange. La 
transaction se poursuit. 

Dans le cas de cette transaction, on voit que la 
carte effectue deux calculs cryptographiques jusqu'a et 

15 y compris celui de la session d ' authentif ication par la 
carte, le calcul de la signature SI et le calcul de la 
signature S2 . Pour cette transaction, on prevoit alors 
de preference de decrementer le compteur de controle 
d'une valeur correspondant au nombre de calculs 

20 cryptographiques effectues jusqu'a et y compris celui 
de la session d ' authentif ication par la carte, 

Cette decrementation peut se faire en une seule 
fois, par une unite u representative de ce nombre de 
calculs realises pour cette transaction. La valeur 

25 prise par u pour cette transaction pourrait etre 
initialisee dans la phase d' initialisation, suite a la 
commande du type "INIT FOR". Cette decrementation en 
plusieurs fois, en decrementant d'une unite le compteur 
avant chaque calcul, dans l'exemple, avant le calcul de 

30 la signature SI et avant le calcul de la signature S2. 

Dans ce cas, on prevoira de faire le test de la valeur 
limite sur le compteur apres chaque decrementation. 

Dans ce cas aussi, on prevoit alors un compteur de 
pointage associe au compteur de controle, note D RDp sur 

35 la figure 2, initialise a zero au debut de la 
transaction et que l'on vient par exemple incrementer a 
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chaque fois que l'on decremente le compteur de 
controle. Ainsi, si 1 ' authentif ication par la carte est 
reussie, on re-incremente le compteur de controle du 
nombre contenu dans le compteur de pointage. 

On notera que l'homme du metier utilisera l'une ou 
1' autre des differentes possibilites de mise en oeuvre 
selon les specificites de 1 'application visee. 
Notamment on peut utiliser une mise en oeuvre pour un 
type de transactions et une autre pour un autre type de 
transactions selon le degre de securite voulu. 

La figure 5 represente un organigramme de 
f onctionnement pour une autre type de transaction, 
celle de mise a jour. II est relativement semblable aux 
precedents, mais 1 ' authentif ication , par la carte se 
fait ici sur la signature notee SI. 

En fait, de maniere generale, le compteur de 
controle est decremente au debut de la transaction. II 
n'est re-incremente, s'il peut 1'etre, qu'apres une 
session d ' authentif ication par la carte. 

On notera que les organigrammes des figures 3 a 5 
ne montrent que certaines des operations effectuees au 
cours de la transaction, pour 1 ' explication du procede 
selon 1' invention. En pratique, d'autres operations 
sont executees. Notamment selon les transactions, on 
25 utilise pour calculer les signatures la cle de session 
courante, ou la cle de session precedente. Apres le 
calcul de la cle de session, le compteur de session 
doit-etre increments . . . Tous ces aspects sont 
specif iques de 1 ' application a proprement parler et 
3 0 n'ont pas d'interet quant a la mise en oeuvre du 
procede de controle selon 1' invention. 

Les differents compteurs de controle doivent etre 
initialises a une valeur de blocage N bien choisie, 
Cette valeur doit tenir compte du type de transactions 
35 associe, du niveau de securite correspondant a mettre 
en oeuvre mais aussi des erreurs possibles en cours 
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d'utilisation "normale" par le titulaire de la carte : 
il ne s'agit pas de bloquer 1 'utilisation de la carte 
alors que le titulaire n'a pas cherche a faire une 
fraude. 

Dans un exemple a titre purement illustratif, mais 
qui rend compte des differents aspects qui doivent etre 
pris en compte, on peut initialiser le compteur de 
controle C KDp associe aux transactions achat/ annulat ion 
d' achat a 100, le compteur de controle C KDL associe aux 
transactions chargement/dechargement a 20, et le 
compteur de controle C KQ u associe aux transactions de 
mise a jour a 10. 

On a explique precedemment qu'une variante du 
procede de controle selon 1' invention consiste a 
incrementer le compteur a chaque session et a ne le 
decrementer que sous condition (authentif ication par la 
carte reussie) . Dans ce cas, le compteur est initialise 
a zero, et la valeur limite, a laquelle le contenu du 
compteur est compare, est egale a la valeur de blocage 
N. Tout ce qui a ete decrit precedemment s ' applique a 
cette variante de 1' invention. 

L' invention vient d'etre expliquee dans un exemple 
d'application a une carte porte-monnaie electronique. 
Mais il ressort clairement de cette description que le 
procede de controle selon l'invention s'applique a tout 
type de carte a puce des lors qu'elle realise une 
session d'authentif ication. Cette session 

d' authentif ication peut etre basee sur un algorithme de 
cryptographie a cle secrete, par exemple de type DES, 
comme explique dans le cas de la carte porte-monnaie 
electronique, mais aussi des algorithmes d'autres type, 
comme les algorithmes de type RSA utilisant un couple 
de cles (cle privee, cle publique) par exemple. Par 
ailleurs, dans 1' invention, on entend par carte a. puce 
aussi bien les cartes de format bien connu que des 
supports portables. 
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- R E VEND I CAT I ONS 

1. Procede de controle de 1'utilisation d'une carte 
a puce comprenant un microprocesseur apte a effectuer 
des calculs de cryptographie dans la carte pour 

5 effectuer des sessions d' authentif ication lors d'une 
transaction entre la carte et un terminal, caracterise 
en ce que ledit precede utilise au moins un compteur de 
controle (C KDP ) et en ce que pour une transaction 
comprenant au moins une session d ' authentif ication par 
10 la carte, le procede consiste : 

- a decrementer , ou incrementer , d'une unite (u) le 
compteur de controle au debut de la transaction et 

- si 1' authentif ication par la carte est reussie, a 
effectuer la re-incrementation, ou la decrementation, 

15 dudit compteur de controle par ladite unite (u) . 

2. Procede selon la revendication 2, caracterise en 
ce que le compteur de controle peut decompter depuis, 
ou compter jusqu'a, une valeur de blocage. 

20 

3. Procede selon la revendication 2, caracterise en 
ce qu'il comprend 1'utilisation d'un compteur de 
controle par cle et/ou par couple de cles de cryptage 
contenus dans la carte. 

25 

4. Procede selon la revendication 3, caracterise en 
la valeur de blocage associee a un compteur est 
fonction du type de transactions dans lesquelles la cle 
associee ou le couple de cles associe est utilise. 

30 

5. Procede selon la revendication 3, caracterise en 
ce que 1' unite de decrementation, ou d' incrementation, 
d'un compteur de controle est representative du nombre 
de calculs cryptographiques avec la cle associee ou le 
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couple de cles associe, effectues jusqu'a et y compris 
celui de ladite session d ' authentif ication pendant 
ladite transaction. 

6. Procede selon la revendication 3, caracterise en 
ce que le compteur de controle associe a une cle ou un 
couple de cles est decrements, ou increments, d'une 
nouvelle unite, avant chacun des calculs 
cryptographiques utilisant ladite cle ou le dit couple 
de cles, jusqu'a et y compris celui de ladite session 
d'authentif ication par la carte, 

7. Procede selon la revendication 5, caracterise en 
ce que la re-incrementation, ou la decrementation, du 
compteur par 1 'unite representative du nombre de 
calculs cryptographiques est effectuee si la session 
d'authentif ication par la carte est reussie. 

8. Procede selon la revendication 6, caracterise en 
ce qu'il comprend un compteur de pointage (D KDp ) pour 
memoriser le nombre de decrementations, ou 
d' incrementations, d'une unite effectuees, pour 
permettre la re-incrementation, ou la decrementation, 
du compteur de controle (C KDp ) par le contenu du 
compteur de pointage, si la session d ' authentif ication 
par la carte est reussie. . 

9. Procede de controle selon l'une quelconque des 
revendications precedentes, caracterise en ce que 
ladite session d'authentif ication par la carte est 
effectuee lors d'une connexion par liaison directe a un 
serveur. 



5 
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10. Procede selon l'une quelconque des 
revendications precedentes, caracterise en ce que, 
lorsque le compteur de controle est decrements, ou 
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increments, jusqu'a une valeur limite, il bloque 
1 ' utilisation de la cle associee ou du couple de cle 
associe . 

11. Procede selon la revendicat ion 10, caracterise 
en ce que le blocage de 1 ' ut i 1 isat ion de la cle ou du 
couple de cles est irreversible. 

12. Carte a puce comprenant au moins un compteur de 
controle associe a au moins une cle et/ou un couple de 
cles pour la mise en oeuvre d'un procede de controle 
selon l'une quelconque des revendications precedentes. 
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EP 


0626662 


A 


30-11-1994 


FR 


2705810 A 


02-12-1994 










DE 


69419967 D 


16-09-1999 










DE 


69419967 T 


09-12-1999 










US 


5550919 A 


27-08-1996 


EP 


0157303 


A 


09-10-1985 


OP 


60207957 A 


19-10-1985 










US 


4879645 A 


07-11-1989 



